He realizado pruebas de penetración usando y lo utilizó para recuperar información del usuario de Active Directory (en adelante, AD). En ese momento, mi énfasis estaba en recopilar información sobre la membresía del grupo de seguridad y luego usar esa información para navegar por la red. De cualquier manera, AD contiene datos confidenciales de los empleados, algunos de los cuales no deberían ser accesibles para todos en la organización. De hecho, en los sistemas de archivos de Windows existe un equivalente , que también puede ser utilizado por atacantes tanto internos como externos.
Pero antes de hablar sobre problemas de privacidad y cómo solucionarlos, echemos un vistazo a los datos almacenados en AD.
Active Directory es el Facebook corporativo
Pero en este caso, ¡ya te has hecho amigo de todos! Es posible que no conozca las películas, los libros o los restaurantes favoritos de sus compañeros de trabajo, pero AD contiene información de contacto confidencial.
datos y otros campos que pueden ser utilizados por piratas informáticos e incluso personas internas sin habilidades técnicas especiales.
Por supuesto, los administradores del sistema están familiarizados con la siguiente captura de pantalla. Esta es la interfaz de Usuarios y Computadoras de Active Directory (ADUC) donde configuran y editan la información del usuario y asignan usuarios a los grupos apropiados.
AD contiene campos para el nombre, la dirección y el número de teléfono del empleado, por lo que es similar a un directorio telefónico. ¡Pero hay mucho más! Otras pestañas también incluyen dirección web y de correo electrónico, administrador de línea y notas.
¿Todos en la organización necesitan ver esta información, especialmente en una era? , cuando cada nuevo detalle hace que la búsqueda de más información sea aún más fácil?
¡Por supuesto que no! El problema se agrava cuando los datos de la alta dirección de una empresa están disponibles para todos los empleados.
PowerView para todos
Aquí es donde entra en juego PowerView. Proporciona una interfaz PowerShell muy fácil de usar para las funciones subyacentes (y confusas) de Win32 que acceden a AD. En breve:
esto hace que recuperar campos AD sea tan fácil como escribir un cmdlet muy corto.
Tomemos un ejemplo de recopilación de información sobre una empleada de Cruella Deville, que es una de las líderes de la empresa. Para hacer esto, use el cmdlet get-NetUser de PowerView:
La instalación de PowerView no es un problema grave; compruébelo usted mismo en la página . Y lo que es más importante, no necesita privilegios elevados para ejecutar muchos comandos de PowerView, como get-NetUser. De esta manera, un empleado motivado pero no muy experto en tecnología puede empezar a jugar con AD sin mucho esfuerzo.
En la captura de pantalla anterior, puede ver que un experto puede aprender mucho sobre Cruella rápidamente. ¿También has notado que el campo “info” revela información sobre los hábitos personales y la contraseña del usuario?
Ésta no es una posibilidad teórica. De Aprendí que escanean AD para encontrar contraseñas en texto sin formato y, a menudo, estos intentos, lamentablemente, tienen éxito. Saben que las empresas son descuidadas con la información en AD y tienden a desconocer el siguiente tema: los permisos de AD.
Active Directory tiene sus propias ACL
La interfaz de Usuarios y Computadoras de AD le permite establecer permisos en objetos de AD. AD tiene ACL y los administradores pueden otorgar o denegar el acceso a través de ellas. Debe hacer clic en "Avanzado" en el menú Ver ADUC y luego, cuando abra el usuario, verá la pestaña "Seguridad" donde configura la ACL.
En mi escenario de Cruella, no quería que todos los usuarios autenticados pudieran ver su información personal, así que les negué el acceso de lectura:
Y ahora un usuario normal verá esto si prueba Get-NetUser en PowerView:
Logré ocultar información obviamente útil de miradas indiscretas. Para mantenerlo accesible para los usuarios relevantes, creé otra ACL para permitir que los miembros del grupo VIP (Cruella y sus otros colegas de alto rango) accedan a estos datos confidenciales. En otras palabras, implementé permisos de AD basados en un modelo a seguir, lo que hizo que los datos confidenciales fueran inaccesibles para la mayoría de los empleados, incluidos los Insiders.
Sin embargo, puede hacer que la membresía del grupo sea invisible para los usuarios configurando la ACL en el objeto del grupo en AD en consecuencia. Esto ayudará en términos de privacidad y seguridad.
en su Mostré cómo se puede navegar por el sistema examinando la membresía del grupo usando PowerViews Get-NetGroupMember. En mi script, restringí el acceso de lectura a la membresía de un grupo específico. Puede ver el resultado de ejecutar el comando antes y después de los cambios:
Pude ocultar la membresía de Cruella y Monty Burns en el grupo VIP, lo que dificultó que los piratas informáticos y los iniciados exploraran la infraestructura.
Esta publicación tenía como objetivo motivarlo a observar más de cerca los campos.
AD y permisos relacionados. AD es un gran recurso, pero piensa en cómo lo harías.
quería compartir información confidencial y datos personales, especialmente
cuando se trata de los altos funcionarios de su organización.
Fuente: habr.com